Nova alerta per estafa per correu electrònic. L’Agència de Ciberseguretat de Catalunya ha detectat una campanya fraudulenta d’extorsió sexual, amb una novetat rellevant respecte a casos anteriors: l’atacant inclou en el missatge una contrasenya real de la víctima per intentar donar credibilitat a les amenaces. 

Es tracta d’una estafa coneguda com a sextorsió: els ciberdelinqüents envien un correu a l’usuari en el qual l’amenacen de revelar imatges o vídeos de contingut sexual i íntim si no fa un pagament. Al correu, l’atacant explica que ha instal·lat un programari maliciós al dispositiu i que per això ha pogut accedir a contingut sexual o íntim de l’usuari. L'objectiu és generar por i pressió per aconseguir el pagament immediat. 

La singularitat d'aquesta nova campanya és que els ciberdelinqüents inclouen una contrasenya real d'un compte de correu electrònic per donar més credibilitat a l’amenaça. D’aquesta manera, és més fàcil que l’usuari s’espanti i acabi fent el pagament, que normalment s’exigeix en bitcoins i en un termini de 48-50 hores per evitar el suposat enviament d’imatges als seus contactes. 

En realitat, el ciberdelinqüent no ha instal·lat cap virus al dispositiu ni té contingut sexual ni íntim de l’usuari. Les contrasenyes reals que afegeixen provenen de fuites de dades massives de serveis digitals compromesos, com ara comptes de correu, xarxes socials o plataformes de compres en línia.

Aquestes dades es venen i compren a la dark web i els estafadors les utilitzen per enviar aquests correus més personalitzats. Encara que la contrasenya sigui real, en la gran majoria de casos l’atacant no ha accedit ni al dispositiu ni al correu electrònic de l’usuari.